美国不必对中国实施网安法过于忧虑
再不点蓝字关注,机会就要飞走了哦
网络安全法是近几年来互联网领域立法的重头戏,自首次向社会公开征求意见直至公布实施,都受到社会各界以及国外的关注。2016年7月,我国网络安全法通过第二次审议并向社会公开征求意见时,美国组织了一场声势浩大的抗议,由美国商会等46家国际企业团体联名致函中国,认为网络安全法增加了贸易壁垒,要求中国政府依据国际贸易法规对其进行修改。
这次抗议活动被理解为外方对我国网络安全法立法工作实施的一次公开施压,试图阻挠我国网络安全法的顺利颁布实施,但是最终没有成功。
2017年6月1日,网络安全法开始实施以后,美方又密切关注网络安全法配套措施的起草制定工作,并不断通过各种渠道来影响有关立法活动。
今年9月底,美国再次通过世界贸易组织(WTO)的机制,函告世界贸易组织服务贸易理事会,并由其转告各成员国,表达了美国对中国实施网络安全法及相关措施的关切,并敦促服务贸易理事会将相关问题的讨论提上理事会议程。
美国此次关注的法律法规主要是网络安全法,同时还包括《个人信息和重要数据出境安全评估办法(征求意见稿)》《信息安全技术数据出境安全评估指南(草案)》等相关法律法规中涉及的网络安全管理措施。不难发现,美国关注的重点是数据跨境问题,涉及“网络运营者”、“重要数据和个人信息”等概念,以及跨境安全评估、数据本地化等制度。
实际上,这些定义和制度设计都是为了保障我国网络信息的“依法有序自由流动”(网络安全法第十二条)。美国反复质疑我国的网络安全法律制度,是因为对于数据流动的关注角度不同,美国关注的是“自由”,而我们关注的是“依法有序”。
美国首先认为“网络运营者”的定义过宽,按照网络安全法的规定,“网络运营者,是指网络的所有者、管理者和网络服务提供者”,美国觉得这样的定义几乎包含了所有的美国互联网企业,只要是拥有自己的网站,或者通过互联网与客户、供应商以及附属机构联系,都符合网络安全法关于“网络运营者”的定义。诚然,网络安全法对“网络运营者”作出了比较宽泛的界定,因为网络安全问题是普遍存在的,所有者、管理者和网络服务提供者都在不同层面负有维护网络安全的责任,能够在不同程度发挥其维护网络安全的作用,因此在当前网络安全工作全面化、严峻化的形势下,从宽定义更符合实际需要。
但是,美国方面的解读却进一步扩大了对“网络运营者”的理解,网络安全法中对“网络”的定义,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。(第七十六条)可见,“网站”并不等同于“网络”,仅仅拥有自己的网站,不能理解为网络的所有者,而仅仅利用互联网技术进行通信,也不能理解为网络运营者,因为其定义的基础在于“网络”。
我们回顾一下,此前网络安全法在征求意见的草案中曾经规定,“网络运营者是指网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者,包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等。”显然也没有对“网络运营者”作出狭窄的理解。所以,从美国的表述来看,他们对“网络运营者”的理解已经远超出了网络安全法规定的范畴,显得过分担心了。
其次,美国认为网络安全法所规定的数据跨境流动规则过于严格,比如“合理、正当、必要”原则、安全评估制度等,都会对数据跨境流动造成严重的阻碍。那么美国的担心有没有道理呢?我们知道,原则不等同于规则,“合理、正当、必要”是一个原则,是对具体规则的指导,网络安全法中有关规定都体现了这一原则,也是一项具有广泛共识的原则。安全评估是在很多国家和地区的网络安全管理制度中使用的一项措施。美国、欧盟、澳大利亚、韩国、印度在具体管理中会将数据划分为三种性质:禁止类、限制类、允许类。其中,对于限制类的数据,主要通过安全评估的方式来评价潜在的风险,比如美国对军用和民用相关行业的技术数据的跨境,就由商务部来进行许可管理。
最后,美国认为网络安全法及配套管理措施中所规定的数据跨境流动规则存在操作性问题。比如针对《个人信息和重要数据出境安全评估办法(征求意见稿)》,美国认为很难在跨境数据流动中去取得每一个个体的同意,网络运营者很难实现这一点,也面临着巨大的成本;跨境流动是否必要,具有很强的主观因素,要求网络运营者在跨境数据流动中对是否必要作出说明,也不好操作;美国还认为“国家安全”、“经济发展”、“社会公共利益”等词汇所表达的意思十分概括,很难确定具体标准,在跨境数据流动中无法界定何种情况会对公众利益、国家利益造成损害;美国还担心“关键信息基础设施”的定义比较含糊,未来可能还会有更多的外企被纳入“关键信息基础设施”范畴,从而面临较高的管理要求。
在这些问题上,美国都表现得过于忧虑。网络安全法要求网络运营者在收集、使用个人信息时要经被收集者同意,但是在跨境数据流动规则中并没有明确提出取得同意的要求。理论上来说,跨境流动也是使用个人信息的用途之一,但是不能由此推论网络安全法要求网络运营者在跨境数据流动中逐一取得用户同意,这显然不符合网络安全法的本意。
具体来看《个人信息和重要数据出境安全评估办法(征求意见稿)》,该征求意见稿是向社会公开征求意见的版本,其中规定了美国担心的“取得个体同意”的要求,但是也没有明确规定要逐一取得用户同意,只是原则性地规定了用户同意的要求。此外,该评估办法中还规定了一些美国认为过于严格的一些安全评估要求。然而,评估办法中规定的安全评估只是针对一些特定情形,比如数据量巨大或者数据内容较为敏感的情形,要求网络运营者必须报请行业主管或监管部门组织安全评估。对于不属于评估办法规定的情形,原则上自愿进行评估。
有关美国所担心的关键信息基础设施管理的内容,网络安全法规定了一些制度要求,但同时做出授权性规定,由配套法规来明确关键信息基础设施的具体范围和要求,正在征求意见的《关键信息基础设施保护条例》中提出通过“识别指南”等方式,来具体确定各行业、各领域的关键信息基础设施,明确要保证识别认定过程的“准确性、合理性和科学性。”美国在征求意见阶段就开始试图阻挠法规的执行,而非提出具体的意见,时间上、操作上都不太合理。
这一两年我国在网络安全法律制度建设方面取得了很多突破,包括美国在内的很多国外政府、企业产生一些质疑是可以理解的。为了消除这些质疑,我们在网络安全法起草过程中,曾经两次向社会公开征求意见,其他一些网络安全法律规定也都是向社会公开征求意见,体现了立法透明性的要求。相信这也是未来我国立法工作的持续方向,充分提取各方面的意见,保证立法的科学性、合理性。
那么,美国这次在WTO的活动会不会影响我国网络安全法的实施呢?按照WTO的程序,美国这次提出异议的对象是中国的“措施”(measures),服务贸易理事会并没有权限来处理成员国的“措施”,一成员国认为另一成员国的“措施”不符合WTO规定的,需要通过WTO的争端解决机制(DSU)进行处理,相当于WTO的诉讼程序。目前,我国正在制定的网络安全法配套规定都在征求意见阶段,还不构成实际的“措施”,并且美国也没有遭受具体的损失,因此从短期来看,美国很难采取进一步的有效行动。
作者简介
方禹,中国信息通信研究院互联网法律研究中心副主任。联系方式:fangyu@caict.ac.cn。
本文原载于《法治周末》。
校 审 | 陈立娜 路凌霄
编 辑 | 贺璐婷
推荐阅读
三季度宽带速率状况报告发布 固定宽带下载速率超15Mbits
快,点击阅读原文,一起涨姿势~